Perencanaan residensi data

Residensi data memberi Anda kontrol lebih besar atas lokasi data Security Command Center Anda. Halaman ini memberikan informasi penting tentang cara Security Command Center mendukung aset data.

Definisi berikut berlaku untuk halaman ini:

Lokasi data yang didukung

Security Command Center hanya mendukung multi-region Google Cloud berikut sebagai lokasi data:

Uni Eropa (eu)
Data berada di region Google Cloud mana pun dalam negara anggota Uni Eropa.
Amerika Serikat (us)
Data berada di region Google Cloud mana pun di Amerika Serikat.
Kerajaan Arab Saudi (KSA) (sa)
Data berada di region Google Cloud mana pun di KSA.
Global (global)
Data dapat berada di region Google Cloud mana pun. Jika retensi data tidak diaktifkan, Global (global) adalah satu-satunya lokasi yang didukung.

Untuk informasi selengkapnya tentang lokasi Security Command Center, lihat Produk yang tersedia berdasarkan lokasi.

Jika Anda perlu menentukan lokasi default untuk retensi data yang tidak didukung Security Command Center, hubungi perwakilan akun Anda atau spesialis penjualan Google Cloud.

Persyaratan untuk residensi data

Anda hanya dapat mengaktifkan aset data saat mengaktifkan paket Standard atau Premium Security Command Center di organisasi untuk pertama kalinya. Tingkat Enterprise tidak mendukung residensi data.

Setelah retensi data diaktifkan, Anda tidak dapat menonaktifkannya atau mengubah lokasi default. Selain itu, ringkasan temuan dan jalur serangan Gemini tidak tersedia.

Untuk menggunakan retensi data, Anda harus menggunakan Security Command Center v2 API. Jika retensi data diaktifkan, Anda tidak dapat menggunakan Security Command Center API versi sebelumnya.

Jika Anda tidak mengaktifkan residensi data saat mengaktifkan Security Command Center, Security Command Center tidak akan membatasi data Anda ke lokasi tertentu, dan data tersebut akan disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.

URL Regional

Untuk lokasi Kerajaan Arab Saudi (KSA), Anda harus menggunakan URL khusus lokasi untuk mengakses konsol Google Cloud yang memiliki wilayah hukum, serta beberapa metode dan perintah di gcloud CLI, Cloud Client Library, dan Security Command Center API:

Konsol

Untuk mengakses Security Command Center, gunakan konsol Google Cloud yang sesuai dengan wilayah hukum, https://console.sa.cloud.google.com/.

Konsol Google Cloud yang memiliki wilayah hukum memungkinkan Anda mengakses data Security Command Center di lokasi KSA dan Global.

gcloud

Untuk mengakses data di lokasi KSA, grup perintah gcloud CLI berikut mengharuskan Anda menggunakan endpoint layanan regional untuk Security Command Center API:

Selain itu, grup perintah gcloud scc operations tidak tersedia untuk operasi yang berjalan lama di lokasi KSA. Misalnya, Anda tidak dapat memeriksa status operasi yang berjalan lama untuk menyembunyikan temuan secara massal.

Untuk semua grup perintah gcloud scc lainnya, Anda harus menggunakan endpoint layanan default untuk Security Command Center API.

Untuk beralih ke endpoint layanan regional, jalankan perintah berikut:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Untuk beralih ke endpoint layanan default, jalankan perintah berikut:

gcloud config unset api_endpoint_overrides/securitycenter

Jika mau, Anda dapat membuat konfigurasi bernama untuk gcloud CLI yang menggunakan endpoint layanan regional, lalu beralih ke konfigurasi bernama tersebut sebelum menjalankan perintah Security Command Center di lokasi KSA. Untuk beralih ke konfigurasi bernama, jalankan perintah gcloud config configurations activate.

REST

Untuk lokasi KSA, Security Command Center API menggunakan endpoint layanan regional https://securitycenter.me-central2.rep.googleapis.com/.

Untuk mengakses jenis resource REST API berikut di lokasi KSA, Anda harus menggunakan endpoint layanan regional untuk Security Command Center:

Selain itu, Anda tidak dapat memanggil metode apa pun untuk resource organizations.operations di lokasi KSA. Misalnya, Anda tidak dapat memeriksa status operasi yang berjalan lama untuk menyembunyikan temuan secara massal.

Untuk semua jenis resource lainnya, Anda harus menggunakan endpoint layanan default untuk Security Command Center API, https://securitycenter.googleapis.com/.

Go

Untuk mengelola jenis resource berikut di lokasi KSA, Anda harus mengganti endpoint layanan default saat membuat klien untuk Security Command Center:

Gunakan endpoint securitycenter.me-central2.rep.googleapis.com:443 untuk jenis resource ini. Contoh kode berikut menunjukkan cara membuat klien yang menggunakan endpoint layanan regional.

import (
	"context"
	"fmt"

	securitycenter "cloud.google.com/go/securitycenter/apiv2"
	"google.golang.org/api/option"
)

// createClientWithEndpoint creates a Security Command Center client for a
// regional endpoint.
func createClientWithEndpoint(repLocation string) error {
	// Assemble the regional endpoint URL using provided location.
	repEndpoint := fmt.Sprintf("securitycenter.%s.rep.googleapis.com:443", repLocation)
	// Instantiate client for regional endpoint. Use this client to access resources that
	// are subject to data residency controls, and that are located in the region
	// specified in repLocation.
	repCtx := context.Background()
	repClient, err := securitycenter.NewClient(repCtx, option.WithEndpoint(repEndpoint))
	if err != nil {
		return err
	}
	defer repClient.Close()

	return nil
}

Java

Untuk mengelola jenis resource berikut di lokasi KSA, Anda harus mengganti endpoint layanan default saat membuat klien untuk Security Command Center:

Gunakan endpoint securitycenter.me-central2.rep.googleapis.com:443 untuk jenis resource ini. Contoh kode berikut menunjukkan cara membuat klien yang menggunakan endpoint layanan regional.


import com.google.cloud.securitycenter.v2.SecurityCenterClient;
import com.google.cloud.securitycenter.v2.SecurityCenterSettings;
import java.io.IOException;

public class CreateClientWithEndpoint {

  public static void main(String[] args) throws IOException {
    // TODO: Replace the value with the endpoint for the region in which your
    // Security Command Center data resides.
    String regionalEndpoint = "securitycenter.me-central2.rep.googleapis.com:443";
    SecurityCenterClient client = createClientWithEndpoint(regionalEndpoint);
    System.out.println("Client initiated with endpoint: " + client.getSettings().getEndpoint());
  }

  // Creates Security Command Center client for a regional endpoint.
  public static SecurityCenterClient createClientWithEndpoint(String regionalEndpoint)
      throws java.io.IOException {
    SecurityCenterSettings regionalSettings =
        SecurityCenterSettings.newBuilder().setEndpoint(regionalEndpoint).build();
    return SecurityCenterClient.create(regionalSettings);
  }
}

Saat residensi data diterapkan

Saat Anda mengaktifkan aset data untuk Security Command Center, beberapa data Security Command Center akan disimpan dalam lokasi yang ditentukan saat berada dalam salah satu status berikut:

Residensi data dalam penyimpanan

Data dalam penyimpanan jika semua kriteria berikut terpenuhi:

Saat Anda mengaktifkan aset data, Security Command Center akan melakukan hal berikut:

Uni Eropa, Amerika Serikat, dan Global

  • Jika memungkinkan, saat data temuan dalam penyimpanan, Security Command Center akan menyimpannya di multi-region Google Cloud tempat resource Anda berada.

    Jika tidak, saat data temuan dalam penyimpanan, data tersebut akan disimpan di lokasi default yang Anda pilih.

  • Saat jenis resource konfigurasi tertentu dalam status tidak aktif, Security Command Center akan menyimpannya di lokasi default yang Anda pilih.

  • Jika Security Command Center menyimpan data yang bukan Data Pelanggan, seperti yang ditentukan dalam item Lokasi Data di Persyaratan Layanan Umum Google Cloud, Security Command Center akan menyimpan data dalam penyimpanan sesuai dengan Persyaratan Layanan Google Cloud Platform.

KSA

  • Saat temuan dibuat untuk resource yang berada di lokasi KSA, temuan tersebut akan selalu berada di lokasi KSA dalam status tidak aktif.
  • Saat temuan dibuat untuk resource yang berada di lokasi lain, temuan tersebut pada akhirnya akan berada di lokasi KSA dalam keadaan tidak aktif. Namun, temuan tersebut mungkin berada di region lain untuk sementara.
  • Saat Anda membuat jenis resource konfigurasi tertentu di lokasi KSA, dan resource tersebut dalam status tidak aktif, resource tersebut akan berada di lokasi KSA.
  • Jika Security Command Center menyimpan data yang bukan Data Pelanggan, seperti yang ditentukan dalam item Lokasi Data di Persyaratan Layanan Umum Google Cloud, Security Command Center akan menyimpan data dalam penyimpanan sesuai dengan Persyaratan Layanan Google Cloud Platform.

Residensi data yang digunakan

Data sedang digunakan jika semua kriteria berikut terpenuhi:

  • Data ini ditujukan untuk jenis resource yang tunduk pada kontrol residensi data.
  • Google Cloud menyelesaikan operasi yang dimulai atas permintaan Anda—misalnya, karena aplikasi Anda memanggil Security Command Center API—atau operasi yang menghasilkan log audit atau log Transparansi Akses.
  • Google Cloud dapat beroperasi pada data dengan cara yang memerlukan pengetahuan tentang makna data—misalnya, dengan memperbarui kolom tertentu dalam resource konfigurasi. Hal ini mencakup setiap kasus saat data tidak dienkripsi dalam memori.

Saat Anda mengaktifkan aset data, Security Command Center akan melakukan hal berikut:

Uni Eropa, Amerika Serikat, dan Global

Di lokasi Uni Eropa, Amerika Serikat, dan Global, data yang digunakan tidak tunduk pada kontrol kedudukan data.

KSA

  • Saat temuan dibuat untuk resource yang berada di lokasi KSA, temuan tersebut selalu berada di lokasi KSA yang digunakan.
  • Saat temuan dibuat untuk resource yang berada di lokasi lain, temuan tersebut pada akhirnya akan berada di lokasi KSA yang digunakan. Namun, temuan tersebut mungkin untuk sementara berada di region lain yang digunakan.
  • Saat Anda membuat jenis resource konfigurasi tertentu di lokasi KSA, dan resource tersebut sedang digunakan, resource tersebut akan berada di lokasi KSA.
  • Jika Security Command Center menyimpan data yang bukan Data Pelanggan, seperti yang ditentukan dalam item Lokasi Data di Persyaratan Layanan Umum Google Cloud, Security Command Center akan menyimpan data yang digunakan sesuai dengan Persyaratan Layanan Google Cloud Platform.

Residensi data dalam pengiriman

Data dalam pengiriman jika semua kriteria berikut terpenuhi:

  • Data ini ditujukan untuk jenis resource yang tunduk pada kontrol residensi data.
  • Data sedang dikirim, dengan enkripsi, dalam jaringan Google, atau data berada dalam memori, dengan enkripsi, untuk tujuan mengirimkannya dalam jaringan Google.

Saat Anda mengaktifkan aset data, Security Command Center akan melakukan hal berikut:

Uni Eropa, Amerika Serikat, dan Global

Di lokasi Uni Eropa, Amerika Serikat, dan Global, data dalam pengiriman tidak tunduk pada kontrol kedudukan data.

KSA

  • Saat temuan dibuat untuk resource yang berada di lokasi KSA, temuan tersebut selalu berada di lokasi KSA dalam pengiriman.
  • Saat temuan dibuat untuk resource yang berada di lokasi lain, temuan tersebut pada akhirnya akan berada di lokasi KSA dalam pengiriman. Namun, temuan tersebut mungkin berada di wilayah lain untuk sementara selama dalam pengiriman.
  • Saat Anda membuat jenis resource konfigurasi tertentu di lokasi KSA, dan resource tersebut sedang dalam pengiriman, resource tersebut akan berada di lokasi KSA.
  • Jika Security Command Center menyimpan data yang bukan Data Pelanggan, seperti yang ditentukan dalam item Lokasi Data di Persyaratan Layanan Umum Google Cloud, Security Command Center akan menyimpan data dalam pengiriman sesuai dengan Persyaratan Layanan Google Cloud Platform.

Lokasi data default

Untuk lokasi Uni Eropa, Amerika Serikat, dan Global, saat mengaktifkan lokasi penyimpanan data Security Command Center, Anda menentukan lokasi Security Command Center default. Anda dapat memilih lokasi data yang didukung sebagai lokasi default.

Security Command Center hanya menggunakan lokasi default untuk menyimpan temuan dalam penyimpanan yang berlaku untuk jenis resource berikut:

  • Resource yang tidak berada di lokasi data yang didukung untuk Security Command Center
  • Resource yang tidak menentukan lokasi dalam metadatanya

Jika Anda men-deploy resource Google Cloud di beberapa lokasi atau multi-region, Anda dapat memilih lokasi Global (global) sebagai lokasi default.

Jika Anda men-deploy resource hanya di satu lokasi, Anda dapat memilih multi-region yang menyertakan lokasi tersebut sebagai default.

Resource Security Command Center dan residensi data

Daftar berikut menjelaskan cara Security Command Center menerapkan kontrol tempat penyimpanan data ke resource Security Command Center. Jika tidak tercantum di sini, resource tersebut tidak tunduk pada kontrol residensi data dan disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.

Aset

Metadata aset disimpan oleh Inventaris Aset Cloud dan tidak tunduk pada kontrol residensi data. Data ini disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.

Oleh karena itu, halaman Aset Security Command Center di konsol Google Cloud selalu menampilkan semua resource di organisasi, folder, atau project Anda, terlepas dari lokasinya atau lokasi yang Anda pilih di konsol Google Cloud. Namun, saat residensi data diaktifkan, dan Anda melihat detail aset, halaman Aset tidak menampilkan informasi tentang temuan yang memengaruhi aset.

Skor eksposur serangan dan jalur serangan

Skor eksposur serangan dan jalur serangan tidak tunduk pada kontrol residensi data. Data ini disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.

Ekspor BigQuery

Konfigurasi ekspor BigQuery tunduk pada kontrol lokasi data.

Uni Eropa, Amerika Serikat, dan Global

Saat membuat resource ini, Anda menentukan lokasi tempat resource tersebut berada. Konfigurasi ini hanya berlaku untuk temuan yang berada di lokasi yang sama.

KSA

Gunakan URL regional untuk membuat dan mengelola resource konfigurasi ini. Mereka tinggal di lokasi KSA, beserta temuan Anda.

Security Command Center API merepresentasikan konfigurasi ekspor BigQuery sebagai resource BiqQueryExport.

Ekspor berkelanjutan

Konfigurasi ekspor berkelanjutan tunduk pada kontrol residensi data.

Uni Eropa, Amerika Serikat, dan Global

Saat membuat resource ini, Anda menentukan lokasi tempat resource tersebut berada. Konfigurasi ini hanya berlaku untuk temuan yang berada di lokasi yang sama.

KSA

Gunakan URL regional untuk membuat dan mengelola resource konfigurasi ini. Mereka tinggal di lokasi KSA, beserta temuan Anda.

Security Command Center API mewakili konfigurasi ekspor berkelanjutan sebagai resource NotificationConfig.

Temuan

Temuan tunduk pada kontrol residensi data.

Uni Eropa, Amerika Serikat, dan Global

Saat dibuat, temuan akan berada di lokasi Security Command Center tempat resource yang terpengaruh berada.

Jika resource yang terpengaruh berada di luar lokasi yang didukung atau tidak memiliki ID lokasi, temuan untuk resource tersebut akan berada di lokasi default Anda.

KSA

Saat temuan dibuat untuk resource yang berada di lokasi KSA, temuan tersebut akan selalu berada di lokasi KSA.

Saat temuan dibuat untuk resource yang berada di lokasi lain, temuan tersebut pada akhirnya akan berada di lokasi KSA. Namun, temuan tersebut mungkin berada di region yang berbeda pada saat dibuat.

Untuk membantu memastikan bahwa temuan selalu berada di lokasi KSA, buat semua resource Anda di lokasi KSA.

Aturan bisukan

Konfigurasi aturan bisukan tunduk pada kontrol residensi data.

Uni Eropa, Amerika Serikat, dan Global

Saat membuat resource ini, Anda menentukan lokasi tempat resource tersebut berada. Konfigurasi ini hanya berlaku untuk temuan yang berada di lokasi yang sama.

KSA

Gunakan URL regional untuk membuat dan mengelola resource konfigurasi ini. Mereka tinggal di lokasi KSA, beserta temuan Anda.

Security Command Center API merepresentasikan konfigurasi aturan bisukan sebagai resource MuteConfig.

Referensi dan setelan Security Command Center lainnya

Resource dan setelan Security Command Center yang tidak tercantum di sini, seperti resource dan setelan yang menentukan layanan mana yang diaktifkan atau paket mana yang aktif, tidak tunduk pada kontrol aset data. Data ini disimpan sesuai dengan Persyaratan Layanan Google Cloud Platform.

Membuat atau melihat data di lokasi

Jika residensi data diaktifkan, Anda harus menentukan lokasi saat membuat atau melihat data apa pun yang tunduk pada kontrol residensi data. Security Command Center secara otomatis memilih lokasi untuk temuan yang dibuatnya.

Anda dapat membuat atau melihat data di satu lokasi saja dalam satu waktu. Misalnya, jika Anda mencantumkan temuan di lokasi Global (global), Anda tidak akan melihat temuan di lokasi Uni Eropa (eu).

Untuk membuat atau melihat data yang berada di lokasi Security Command Center, lakukan hal berikut:

Konsol

Uni Eropa, Amerika Serikat, dan Global

  1. Di konsol Google Cloud, buka Security Command Center.

    Buka Security Command Center

  2. Untuk mengubah lokasi data, klik pemilih lokasi di panel tindakan.

    Daftar lokasi akan muncul. Pilih lokasi baru.

KSA

Di konsol Google Cloud yang memiliki wilayah hukum untuk lokasi KSA, buka Security Command Center.

Buka Security Command Center

gcloud

Uni Eropa, Amerika Serikat, dan Global

Gunakan flag --location=LOCATION saat Anda menjalankan Google Cloud CLI, seperti yang ditunjukkan dalam contoh berikut.

Perintah gcloud scc findings list mencantumkan temuan organisasi di lokasi tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi
  • LOCATION: Lokasi Security Command Center yang akan digunakan, seperti eu; jika retensi data tidak diaktifkan, gunakan global

Jalankan perintah gcloud scc findings list:

Linux, macOS, atau Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

Respons berisi daftar temuan.

KSA

Konfigurasikan gcloud CLI agar menggunakan endpoint layanan regional lokasi KSA untuk Security Command Center API:

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

Kemudian, Anda harus menggunakan flag --location=sa saat menjalankan Google Cloud CLI, seperti yang ditunjukkan dalam contoh berikut.

Perintah gcloud scc findings list mencantumkan temuan organisasi di lokasi tertentu.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Jalankan perintah gcloud scc findings list:

Linux, macOS, atau Cloud Shell

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (PowerShell)

gcloud scc findings list ORGANIZATION_ID --location=sa

Windows (cmd.exe)

gcloud scc findings list ORGANIZATION_ID --location=sa

Respons berisi daftar temuan.

REST

Uni Eropa, Amerika Serikat, dan Global

Gunakan endpoint API yang menyertakan locations/LOCATION dalam jalur, seperti yang ditunjukkan dalam contoh berikut.

Metode organizations.sources.locations.findings.list Security Command Center API mencantumkan temuan organisasi di lokasi tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi
  • LOCATION: Lokasi Security Command Center yang akan digunakan, seperti eu; jika retensi data tidak diaktifkan, gunakan global

Metode HTTP dan URL:

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi daftar temuan.

KSA

Gunakan endpoint layanan regional untuk lokasi KSA guna memanggil API, seperti yang ditunjukkan dalam contoh berikut.

Metode organizations.sources.locations.findings.list Security Command Center API mencantumkan temuan organisasi di lokasi tertentu.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

  • ORGANIZATION_ID: ID numerik organisasi

Metode HTTP dan URL:

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

Untuk mengirim permintaan, perluas salah satu opsi berikut:

Respons berisi daftar temuan.

Langkah selanjutnya